新たなフィッシングサービス「Forg365」、AIを駆使してMicrosoft 365アカウントを狙う

Forg365と呼ばれる新たなフィッシング・アズ・ア・サービス(PhaaS)が登場し、Microsoft 365アカウントの窃取を狙っています。このプラットフォームは、アドバーサリー・イン・ザ・ミドル(AiTM)攻撃とデバイスコード方式を組み合わせ、さらにAIによる誘導文生成機能まで備えています。

このプラットフォームにはブラウザ拡張機能も用意されており、侵害したアカウントに紐づくMicrosoftサービスへ、再認証することなく継続的にアクセスできる仕組みになっています。

メールセキュリティ企業ZeroBECの研究者らによると、Forg365に搭載されている機能の多くは、Kali365Sneaky2FAといった悪名高い他のPhaaSプラットフォームにも見られるものだといいます。ただし、両者の間に直接的なつながりは確認できなかったとのことです。

研究者らの調査は、ビジネス文書を装ったフィッシングメールの分析から始まりました。これらのメールは、正規のサービスを巧妙に模倣するよう作り込まれていました。

「観測された送信元ドメインはAmazon SESによる配信を利用しており、メール本文にはSendGridでホストされた画像やトラッキング用のリソースが含まれていました」と、ZeroBECは本日公開したレポートの中で述べています。

正規サービスとフィッシング用インフラを組み合わせたこの手口からは、通常のメールトラフィックに紛れ込ませることができる、成熟したPhaaS運用の実態がうかがえます。

このプラットフォームには、デバイスコード型フィッシング、アドバーサリー・イン・ザ・ミドル(AiTM)フィッシング、AIによるメール文面生成支援、トークン・クッキーの管理、そして侵害後の各種操作機能が備わっています。

さらに調査を進めた研究者らは、Forg365のダッシュボードへのアクセスを得ることに成功しました。このダッシュボードでは、新たなフィッシングキャンペーンの作成、フィッシングリンクの管理、OAuthアプリやSMTPプロファイルの設定、トークン管理、そしてAIの支援を受けたフィッシングメールの生成が行えます。

Image

AIを使ったカスタムフィッシング文面の作成自体は目新しいものではありませんが、研究者らはForg365がこの機能をパネルに直接統合している点を指摘しています。攻撃者は、侵害後の活動を制御するのと同じダッシュボードから、悪意あるメールの作成・文面の準備・メッセージの推敲までを一貫して行えるのです。

研究者らによれば、こうした統合は戦略的な意味を持ちます。「AIはカスタムフィッシング文面の作成コストを下げますが、同時にカスタムPhaaSプラットフォームそのものを構築するコストも下げてしまいます」とのことです。

AI-assisted email content generation

このパネルには、アカウント情報を分析するインテリジェンス機能や、侵害済みのメールボックスをあらかじめ定めたキーワードでスキャンし、一致が見つかるたびに攻撃者へ通知するキーワード監視機能も搭載されています。

攻撃者には「ForgCookie」と呼ばれるブラウザ拡張機能が提供されます。Google Chrome、Microsoft Edge、Braveに対応しており、Microsoft SSOのクッキーを自動的に更新することに特化して設計されています。

この拡張機能は、Forg365のバックエンドにアカウントデータを要求し、セッションクッキーを消去した上で、サイレントなOAuthフローを発生させて新しいクッキーを取得する仕組みになっています。

これにより、攻撃者は被害者のアカウントに紐づくMicrosoftサービスへの永続的なアクセスを手に入れることになります。

The ForgCookie extension

ZeroBECによると、Forg365は主に2つの攻撃経路をサポートしています。近年流行しているデバイスコード型フィッシングと、より従来型のAiTMフィッシングです。

デバイスコード型の場合、被害者はMicrosoft風の確認コードページを表示され、Microsoftのデバイスコードフローを使って認証を完了するよう指示されます。このフローは本来、スマートTVやIoT機器、ブラウザを持たないツールなど、入力に制約のある端末向けに設計されたものです。

この手口では被害者のパスワードを直接狙うのではなく、正規のOAuth 2.0デバイスコードフロー認証方式を悪用し、被害者をだまして攻撃者が制御するデバイスを認可させます。

The device-code phishing method

AiTMフィッシングでは、このプラットフォームがMicrosoftのインフラと標的アカウントの間でやり取りされる認証リクエストやデータをプロキシ経由で中継し、その過程でセッションクッキーを捕捉します。

研究者による管理パネルへのアクセスを防ぐため、Forg365には「AES暗号化されたリダイレクター、ボット検知、デバッガートラップ、サンドボックス検知、ポリモーフィックコード」を謳うAntiBot機能が搭載されています。

さらに、VPN接続を検知した場合には、フィッシングページを表示する代わりに無害なコンテンツへリダイレクトする仕組みになっています。

ZeroBECの報告によれば、このプラットフォームはフィッシングメールの配信にAmazon SESを、ランディングページにはCloudflare Pagesを利用しています。また、キャンペーンの配信にはGophishのインフラも使われています。

利用者に対しては、必要がない限りMicrosoftのデバイスコード認証を制限または無効化すること、そしてMicrosoft Entraのログでデバイスコード認証イベントを監視することが推奨されています。

メールボックスのルール、新規デバイスからのサインイン、Microsoft Authentication Brokerの活動、OAuth許可についても、想定外のエントリーがないか調査する必要があります。

侵害が疑われる場合は、すべてのトークンとセッションをできるだけ速やかに失効させ、再発行することが求められます。

攻撃者に先んじて、すべての防御層をテストする

セキュリティチームが記録できている攻撃成功の割合はわずか54%、アラートが上がるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/new-forg365-phishing-platform-uses-ai-to-target-microsoft-365-accounts/

ソース: bleepingcomputer.com